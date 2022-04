Rapport VMware Modern Bank Heists : les cyberattaques ciblant les services financiers en pleine croissance

VMware, Inc. dévoile le cinquième volet de son rapport annuel Modern Bank Heists. Ce rapport met en lumière l’évolution des méthodes des cybercriminels et les approches défensives adoptées par les services financiers attaqués, grâce aux témoignages de RSSI et de professionnels en charge de la sécurité des systèmes. D’après les conclusions, l’année passée, les établissements financiers sont confrontés à davantage d’attaques destructrices, et ont été plus souvent victimes de ransomwares que les années précédentes. Ces tendances témoignent d’une évolution des groupes cybercriminels : les attaques visant les transferts d’argent semblent tombées en désuétude. Convertis en agents d’un espionnage économique, les cybercriminels cherchent désormais une porte d’entrée aux institutions financières dans le but de dérober des informations confidentielles (sur l’état des marchés financiers, prévisions ou éventuelles offres de rachat/transactions).

La Russie pointée du doigt

63 % des établissements financiers constatent une recrudescence des attaques destructrices destinées à faire disparaître les preuves et contrer les procédures de réponse aux incidents.

74 % d’entre eux ont subi au moins une attaque de ransomware l’année dernière, près de deux tiers (63 %) ont finit par payer la rançon exigée. Interrogés sur l’identité des Etats-nation soutenant ces attaques, la majorité des établissements financiers considèrent la Russie comme la menace la plus préoccupante.

Cyber attaques et délit d’initié

Le rapport révèle également que les cybercriminels étant parvenus à accéder aux actifs des organisations ne cherchent plus à effectuer des transferts frauduleux ou à récupérer des fonds. Désormais, ils recherchent un accès aux informations confidentielles (estimations, offres de titres ou transactions). Ainsi, 2 établissements financiers sur 3 (66 %) ont subi des attaques ciblant des données stratégiques. Ce type de manipulation, moderne, entre dans le cadre de l’espionnage économique, et représente une nouvelle approche du délit d’initié.

Les principaux résultats du rapport :

• 60% des établissements financiers ont enregistré une hausse des attaques indirectes (passant par des organismes tiers). Cette hausse représente une nouvelle ère de conspirations, où le piratage des entités numériques d’établissements financiers pour attaquer leurs autres entités est devenu l’objectif ultime.

• 67% des établissements financiers ont constaté des manipulations de données d’horodatage et 44% des attaques ciblaient des informations commerciales.

• 83% des établissements sont préoccupés par la sécurité des échanges de cryptomonnaies. C’est une des attaques préférées par les cybercriminels car les attaques fructueuses peuvent être immédiatement et directement converties en cybermonnaie.

• La majorité des établissements financiers prévoient d’augmenter leur budget de 20-30% cette année. Les priorités en matière d’investissement incluent le développement de capacités étendues de détection et de réponse aux incidents (XDR), la sécurité des applications, et la protection des appareils mobiles.

Jeremy Sheridan, ancien directeur adjoint du Service de renseignement des États-Unis : « Dans le cadre de leur mission d’investigation consistant à protéger les systèmes de paiement et l’infrastructure financière nationale, le Service de renseignement des États-Unis a constaté une évolution et une recrudescence des fraudes cyber complexes. L’activité des criminels tire profit d’une variété d’opportunités, de motivations, de méthodes et de moyens. Citons notamment la rentabilité accrue de ces actions. La sécurité résolument inadéquate des systèmes connectés à Internet offre en soi une opportunité, et même une méthodologie sur un plateau. Enfin, la prolifération des systèmes de paiement numérique a apporté une solution globale, instantanée et pseudo-anonyme facilitant leurs actions. Tous ces facteurs favorisent la maturation d’un écosystème cybercriminel qui n’est pas suffisamment réprimé. Ces tendances sont amenées à perdurer à l’avenir, les assaillants utilisant des techniques encore plus performantes en matière d’anonymat, à l’image des réseaux pair-à-pair, des pièces de confidentialité, des communications chiffrées et des places de marché du darknet, pour développer la richesse et la portée de leurs capacités de cybercrime. »

Tom Kellermann, chef de la stratégie sécurité, VMware : « La sécurité est devenue une des priorités des dirigeants d’entreprise dans le contexte de tensions géopolitiques actuel, avec la recrudescence des attaques destructrices à l’aide de wipers et des outils d’accès à distance (RAT), et à l’issue d’une année sans précédent en matière d’exploits Zero Day. Désormais, les établissements financiers sont conscients que les pirates préfèrent le piratage au braquage, la destruction à la persistance, et sérieusement impacter un secteur extrêmement vulnérable. Il est essentiel que la communauté spécialisée dans la cybersécurité, les organismes gouvernementaux et le secteur financier collaborent pour faire face à ces menaces émergentes. »

Rick McElroy, responsable de la stratégie de cybersécurité de VMware : « Bien que les cryptomonnaies soient de véritables devises, les consommateurs ne les traitent souvent pas en tant que telles. Ils ont tendance à faire confiance à de nouvelles bourses d’échange, alors que celles-ci ne protègent pas suffisamment leurs monnaies, ou même leurs propres comptes d’administrateurs. À l’heure actuelle, les consommateurs ne peuvent plus se permettre de ne pas porter intérêt à la protection de leurs cryptomonnaies. Rien n’interdit aux cybercriminels de cibler les bourses d’échange, les warm wallets ou le stockage à froid. Les cybercriminels suivront toujours l’argent, où qu’il se trouve. »

Méthodologie du rapport de VMware

En février 2022, VMware a mené une enquête en ligne sur l’évolution des menaces pour la cybersécurité des établissements financiers. Cent trente RSSI et responsables de la sécurité du monde entier y ont participé (41 % des établissements étant basés en Amérique du Nord, 29 % en Europe, 16 % dans la région Asie-Pacifique, 12 % en Amérique centrale et du Sud, et 2 % en Afrique). Les personnes interrogées étaient invitées à ne choisir qu’une réponse à chaque question.

À propos de l’auteur du rapport, Tom Kellermann

Tom Kellermann est responsable de la stratégie de cybersécurité de VMware Inc. Il était auparavant directeur de la cybersécurité de Carbon Black, avant le rachat de cette dernière par VMware en 2019. En 2020, il a été nommé au Conseil consultatif chargé des cyber investigations pour le Service de renseignement secret des États-Unis. Le 19 janvier 2017, il est devenu membre de l’équipe mondiale de recherche sur les politiques cyber du Wilson Center.

Auparavant, il a exercé les fonctions de directeur de la sécurité chez Trend Micro ; vice-président de la sécurité chez Core Security ; et responsable adjoint de la sécurité des systèmes d’information pour la Trésorerie de la Banque mondiale. En 2008, il a été nommé membre de la Commission de cybersécurité du 44e président des États-Unis. En 2003, il a coécrit le livre « Electronic Safety and Soundness : Securing Finance in a New Age ».